Sabit Disk İmajı Nasıl Alınır?

Bu yazıda kısaca sabit disk imajı alma süreçlerinden ve ücretsiz imaj alma programı olan FTK Imager’dan bahsedeceğim.

İmaj Alma İşleminin Adımları

Uçucu verilerin elde edilmesi işleminden sonra sıra uçucu olmayan verilerin imajının alınarak incelenmesine gelmektedir. Disk imajı 2 şekilde alınabilir:

• Fiziksel İmaj: Disk imajı bit-by-bit olarak yani diskin Master Boot Record’undan sonuna kadar alınabilir.

• Mantıksal İmaj: İmaj alma işlemi forensically sound olarak yani sadece diskin belirli bölümlerinin imajı alınarak(örneğin yalnızca C: diskinin imajı alınabilir) yapılabilir.

Sabit diskin imajı alındıktan sonra mutlaka özet(hash) değeri alınmalı ve kaydedilmelidir. Bu işlem sabit diskin üzerine yapılan incelemelerin disk üzerinde herhangi bir veriyi değiştirmediğini kanıtlayacaktır.

Disk imajı donanımsal veya yazılımsal olarak alınabilir fakat imaj alma işlemi sırasında, sisteme bağlanan cihazların yazma koruması ile bağlanmasına dikkat edilmelidir. Aksi takdirde imaj alınacak sistemin orijinalliği bozulabilir. Veri bütünlüğü açısından, yazılımsal yazma korumalarının kullanımı tavsiye edilmemektedir.

Delil Kopyaları

Alınan sabit disk imajı ‘delil kopyası’ olarak adlandırılmaktadır. Bu kopyaların 3 çeşidi mevcuttur:

• Orijinal delil: Alınan ilk disk imajının kendisidir.

• En iyi delil: Orijinal delilin kopyasıdır. Çalışma kopyaları bu delil üzerinden oluşturulur.

• Çalışma kopyası: Üzerinde analiz işlemlerinin gerçekleştirileceği kopyadır.

Yukarıdaki sınıflandırmadan anlaşılacağı üzere, asla orijinal delil veya en iyi delil üzerinde analiz işlemleri yapılmamalıdır. Orijinal delil üzerinde yapılabilecek en ufak hata, imaj alma işleminin tekrarını gerektirecektir.

İmaj Formatı Çeşitleri

• Raw İmaj Formatı: Sıkıştırma desteği bulunmadığı için imaj orijinal disk ile aynı boyuttadır. İmaj içerisinde metadata bilgisi yoktur. Dosya uzantıları genellikle .dd, .001 veya .img olmaktadır.

• E01: Expert Witness Format olarak bilinen bu imaj formatı sıkıştırma desteği sağlamaktadır. İmaj içerisinde metadata bilgisi de bulunur. Linux ortamında libewf kütüphanesi ile kullanılabilir.

• Advanced Forensics Format: Açık bir standarttır. Metadata saklama ve sıkıştırma özelliklerini barındırır. Dosya uzantıları .aff şeklinde olur.

İmaj Almak İçin Kullanılacak Araçlar

İmaj almak için dd, dd.exe, dc3dd.exe araçları kullanılabilir.

Bunun yanısıra, kullanıcı arayüzüne sahip ve kullanımı pratik olan FTK Imager adlı bir program mevcuttur. FTK Imager ile oldukça kolay bir şekilde imaj alınabilir. Program şu adresten indirilebilir.

Adım adım imaj alma aşamalarına bakalım.

Program açılış ekranı.

File -> Create a Disk Image ile imaj oluşturma işlemlerine başlıyoruz. İlk adım olarak imajı nasıl alacağımızı belirlemeliyiz. Phsical Drive seçeneği ile yukarıda konuştuğumuz gibi fiziksel imaj alma işlemlerini, Logical Drive seçeneği ile mantıksal imaj alma işlemlerini gerçekleştirebiliriz.

Sonrasında ise hangi diskin imajını alacağımızı seçiyoruz. FTK arayüzünden, o an bilgisayara bağlı olan bütün sabit diskleri görüntüleyebiliriz.

Karşımıza çıkan ekrandan ‘Verify images adter they are created’ seçeneğini işaretlersek, FTK bizim için imajı doğrulama ve özet alma işlemlerini de gerçekleştirecek. ‘Add…’ butonuna basarak işlemlerimize devam ediyoruz.

Sonraki aşama olarak oluşturacağımız imajın tipini seçeceğiz.

Karşımıza oluşturulan imaj hakkında bilgileri gireceğimiz ekran gelecek. Buradan ‘Delil Numarası’, ‘Araştırmacı Adı’ gibi bilgileri doldurabiliriz.

Ardından imajı oluşturacağımız çıktı dizinini ve imajın adını belirliyoruz. Image Fragment Size ile oluşturulacak imaj dosyalarının boyutunu belirleyebiliriz. Boyutu 0 olarak belirlersek imaj dosyası 1 dosya olarak oluşturulacak. Finish’e basarak imaj alma öncesi işlemlerimizi bitiriyoruz.

Start butonu ile imaj alma işlemini başlatabiliriz. İşlem, diskin boyutuna göre uzun sürebilir.

İmaj alma işlemi tamamlandıktan sonra FTK Imager programı bize sonuçları gösteriyor. İmajı alınan diskin özet değeri ile imaj dosyasının özet değerini karşılaştırarak imajın doğru bir şekilde alındığını bize söylüyor.

Artık oluşturduğumuz imajı inceleyebilir ve olağan dışı aktiviteleri tespit edebiliriz.

Kaynaklar

https://digital-forensics.sans.org/blog/2009/06/18/forensics-101-acquiring-an-image-with-ftk-imager/
http://halilozturkci.com/

Ahmet Selim Kaya

Ofansif Güvenlik Araştırmacısı, TOBB ETU Siber Güvenlik Yüksek Lisans öğrencisi. Bilmediklerinin öğrencisi, bildiklerinin öğretmeni.